快訊 | 第一期網路空間戰略沙龍在京舉辦

編者按： 5月23日晚，（復旦）網路空間戰略研究所組織首期網路空間戰略沙龍，來自學界、保險企業、網路安全企業十餘位嘉賓共同探討「網路安全保險」發展。本次沙龍深度解析當前發展網路安全保險的價值、難點、可能路徑等問題，提出以「服務即保險」理念，構建保險-安全共同體，首開「網路安全保險」建設理論研究的先河。以下為當天沙龍嘉賓代表發言集萃，以饗讀者。

秦安

網路空間戰略研究所 所長

近日「魔窟」洞開，勒索軟體橫行，感染全球二十多萬台設備，已經有三萬多個機構或組織的數十萬台設備被感染。背後折射出的，是網路安全防護能力的尷尬和網路安全保險的缺位。為了推進跨界家劉玉合作，我們舉辦第一期網路空間戰略沙龍（秦安戰略沙龍），邀請「網路安全保險」課題組的成員、網路安全企業代表、保險行業代表和法律界的朋友，開展閉門研討，商議如何以此為契機，探索網路安全保險發展路徑、方法和節點。

「網路安全保險」課題是為了落實習近平總書記網路安全觀的重要思想，立足防範風險的大前提，統籌加速推動網路強國建設，我所主編的「網路空間戰略論壇」前期推出了「網路安全保險」專題研究，旨在發揮保險風險補償、資金融通和社會管理的功能，與網路安全行業跨界合作，通過網路安全保險，助力網路安全風險治理體系建設，構建保險---安全共同體。下面有請課題組成員、保險業代表、網路安全企業代表和法律界朋友逐一發言。

用保險這種市場的手段來進行網路風險管理，進而落實網路強國的國家戰略，這本身毫無疑問是一件非常了不起的事情。保險本身具有風險管理功能，是經濟發展的助推器，是社會發展的穩定器。另外，通過保險的風險管理，還能夠防災減損，這裡的防災主要是「巨災」。再一個，保險還具有投資的功能，利用保險的這個功能來解決互聯網發展過程中的安全和發展問題，這是雙贏的。對於保險業來說，能通過與網路安全行業深入合作，參與到網路強國的國家戰略中去，也是保險公司發展的重大的好機會，總之，這是一個很有價值的課題。關於網路安全保險的發展方向，概括起來是兩句話：第一，要側重安全保障服務；第二是著重整個產業鏈的打造。

網路安全保險一般包括對企業或個人一方以及因企業或個人原因導致的第三方數字資產、營業中斷、聲譽損失等提供的保障。據達信保險經紀統計，首批網路風險保險產品出現於20世紀90年代中期。但直至美國修改立法要求將非法披露個人信息納入承保範圍后，該產品才開始盛行起來。安聯全球企業及特殊風險發布的網路安全研究報告顯示，目前全球網路保險年均保費規模約20億美元。總體來看，網路安全保險在國外已經很發達，但國內提供網路安全保險的公司並不多，其最重要的原因是立法規範的缺失，同時保險公司定價技術不足、重視不夠，以及企業和個人用戶網路安全意識不足也是重要原因。2013年以來，蘇黎世財險保險（）有限公司、安聯財險、美亞保險等公司在率先推出網路安全保險。保險公司從網路信息安全事故帶來的損失及危機管理出發，涵蓋企業和客戶雙方的損失和風險管理，對網路安全保險的發展進行了初步探索。

為進一步發展網路安全保險，建議從保險機構創新、全流程網路安全風險管理等角度進行探索。鼓勵網路安全科技企業發起設立專業性網路安全保險組織，利用豐富的網路安全風險管理經驗，打造專業化的網路安全保險產品與組織運營體系。現有保險機構新設網路安全保險產品等業務部門，加強與網路安全企業的深度合作。完善網路安全保險產品和服務，從事後補償發展為事前預防、事中處置和事後補償的全流程風險管理服務。企業和客戶重視事後補償，但更不希望事故的發生。保險公司應把主要人力、物力和技術至於事前預防一端，盡最大努力避免事故的發生。

目前發展網路安全保險，有三點有利時機，首先是民眾有需求。互聯網的觸角已延伸到社會各個角落，越來越深刻地影響現代生活的方方面面。但是隨著社會整體對網路的依賴程度越來越高，網路安全事件造成嚴重損失的可能性也越來越大。在做好前端安全防禦的同時，也需要拓寬後端風險分散的渠道。其次是社會有熱點。本次網路勒索事件造成了嚴重影響，網路安全迅速成為社會輿論關注的焦點，個別保險公司也藉機快速推出了相關的保險產品。再次是國家有期待。網路安全事關國計民生，事關國家主權與信息安全。目前保險市場上提供網路安全保險產品的主要為外資保險公司，國內企業應該而且能夠主動承擔相關責任。

關於發展網路安全保險的路徑方法，有五點建議：第一，爭取政策支持。對於涉及國家安全的核心領域，研究建立強制保險制度的可行性；對於關係國計民生的關鍵行業，積極推動建立有財政資金支持的政策性保險制度。第二，發揮行業優勢。由若干保險公司組成共保體，體現規模優勢與行業力量，有效發揮風險管理及分散作用，並共同承擔可能出現的巨災風險。第三，密切行業協作。網路安全風險屬於信息技術高度發達背景下的新風險領域，具有較強的專業性，與保險公司經營的傳統風險存在較大差異。特別是隨著網路信息技術的快速發展，網路安全風險也在不斷地發生演化。建議建立保險行業與網路安全行業之間的協作機制，實現網路安全管理技術與保險風險管理技術之間的融會貫通，夯實網路安全保險發展的技術基礎。第四，推出示範項目。在行業間協作的基礎上，梳理當前網路安全風險管控面臨的問題，調研個人及企業分散網路安全風險的具體需求，以解決痛點難點問題為出發點，推出具有代表性的網路安全保險產品，發揮示範效應。第五，逐步推廣實施。在總結試點經驗的基礎上，逐步從項目向行業、從地區向全國推廣。

今天我主要講三個方面的個人思考，第一，怎麼看網路安全保險？第二，為什麼說現在是做網路安全保險的最佳時機？第三，如何發展網路安全保險？

《紅樓夢》裡頭有一句話：好風憑藉力，送我上青雲。立足風口，立足大勢沒錯。對網路安全保險發展來講，我認為目前有三股清風，形成了發展的大趨勢。三股清風分別是國家安全戰略的風，保險回歸保障的風和強化社會治理的風。首先，國家安全戰略的風。我們都知道網路安全是網路強國建設的最短板。2月17日習總書記在京召開了國家安全工作座談會，強調：「認清國家安全形勢，維護國家安全，要立足防範風險的大前提來統籌。」這對我們做好國家網路安全工作已經指出了非常明確的方向，也就是說有什麼樣的風險就要有什麼樣的風險管理工具去管控和對沖，網路安全保險就是最好的管理網路風險工具。第二，保險回歸保障的風。從目前現實需要來看，保險業需要真正沉下心來，好好思考一下，如何回歸保障，做到保障和投資雙輪驅動。真正好的保險產品，是要回歸保障的功能，能夠服務於整個社會，保障網路安全風險成為可以保險業回歸保障的一個試驗田。第三，強化社會治理的風。強化社會治理，提升治理體系和治理能力現代化國家，已經成為社會發展的必然趨勢，不能僅僅停留在「喊口號」的階段。面對社會治理路上的「利益板結」，怎麼通過機制來協調各方參與，保障各方利益，保險已經有了成功的經驗」。以車險為例，據統計， 去年汽車保險的收入是6835億，佔全國財產業務73%，當年的累計賠款支出4000多億，車險真正發揮了調動各方參與治理車輛風險的功能。我認為汽車行業和網路安全行業有極大的相似性：汽車是工業文明的象徵，網路安全是互聯網時代的象徵，兩者都是雙刃劍，既有好處又壞處，都會造成很大的損失，這個損失都會是分散性的，不可預測的難以預防的，那麼汽車保險經過幾年發展，形成了一個法定強制險、商業補充險，公益性和商業性并行的這麼一個綜合性的保障體系，它把政府、個人以及車商的利益都用保險來很好地調動和調和起來，通過保險形成一個良性的循環。第一，保障了車主的利益。第二，加強了對第三方責任的救助，這個實現是減輕了政府的壓力。第三，推動了汽車維護修理的一個標準化。第四，提高了全社會對汽車風險的認知和防範水平。人現在都講一個笑話：對保護和保養車的重視要高於對自己的保養。從中可以看出，經過多年的發展，汽車保險已經讓人對於汽車的風險意識和風險管理已經到了很高的水平了，所以從這個例子上來講，保險是能夠有效地進行社會治理的工具。總之，這三股清風帶來了大勢，發展網路安全保險應該抓住這個大勢，乘風而上。

第二個，為什麼說現在是做網路保安全保險的最佳時點，三點思考。第一，安全危險與日俱增。我們前段時間做網路安全保險課題的時候，還在開玩笑講目前網路安全界缺一個「黑天鵝事件」，戳中我們在網路安全方面的很多漏洞的痛點。剛剛發生的這個勒索病毒事件可能還不夠痛，還稱不上一一個黑天鵝事件，只是一個先兆。這次事件再一次讓我們意識到：我們現在都是上身華麗，下身赤裸地奔跑在互聯網的大道上，而人民群眾往往是最先受到傷害的群體。第二，6月1號即將正式實施的《網路安全法》，給網路安全保險的發展帶來法律依據，對於網路安全行業的整體發展來講，是一個很大的利好。但這裡有一個政府和社會力量邊界的問題，就是說政府通過法律，來形成一個生態的「圍堰」，但是裡面的水，不能光等著政府來放，而要企業、社會組織、人民共同來形成一池活水。網路安全法出來了，產業不能等著政府再來扶上馬，而要主動思考，主動作為，尋找爆發點和增長極。歷史經驗也表明了，藍海都是企業自己找出來的。第三，傳統保險行業面臨轉型的的臨界點。因受制於過去傳統的產品渠道理賠，很多利益格局都已經板結，如何轉型？是整個行業都在關注的事情。說到如何去破局，保險行業到了迫切需要利用互聯網去改造自己的契機。在我的想象當中，未來的保險公司實際上是一個基於演算法的科技數據公司，業務模式是基於數據收集、精算、定價，輔助結合線上和線下的理賠。

如何發展網路安全保險？簡單說三個方面。第一，產品。我個人的理解是按照「急用先行」的原則，儘快開發出to C端的產品。因為當再次面臨像這次勒索病毒軟體風險時，暴露在風險最前端，對風險最無力的其實還是普通C端的這些民眾。那麼產品設計中怎樣通過網路安全行業和保險行業，這兩個行業的跨界和互動，去營造一個合作共贏的一個生態環境，這一點很重要。第二，定價。定價涉及量化風險，這是我們現在討論最多的難點。在沒有過去的損失經驗信息的情況下，我們能否以服務去衡量損失，以動態的服務減損來代替定價。同時我們要結合網路安全保險用戶的痛點，探索有價值的事先防範和事後恢復服務，而不是傳統的財產補償模式，是否可以提出「服務即保險」 （Service-as-a-Insurance，SaaI）的理念。第三，渠道。過去保險受制於中介和平台在渠道上的控制，那麼通過開發網路安全保險這個機會，我們是否也可以做一些渠道上的改良，例如，跟網路安全的一些產品關聯起來，怎麼樣捆綁起來去銷售，打破以往被制約的局面，實現去中介化。

最後用三個判斷來做一個小預測：網路安全保險的嘗試，中資一定能夠跑贏外資，民營一定能跑贏國有，小平台一定能夠跑贏大平台。

首先給大家介紹一下安心財產保險公司，我們是國內前三家由保監會批准成立的互聯網保險公司之一，是2015年國家推出「『互聯網+』行動計劃」后成立的，可以說是具有互聯網基因的保險公司，目前公司的戰略性口號是：把手機當成24小時的營業櫃檯，通過移動互聯網實現銷售。從我個人的角度，期待保險的全流程都能網路化：從產品設計到購買到服務再到理賠，都能用互聯網的方式來實現。

可以肯定的是，網路安全風險是偶發性的事件，符合保險的基本原理，能夠體現保險的損失補償原則。但是在實際操作中，從保險產品設計、定價、服務、理賠的角度，怎麼能夠界定網路安全風險？我覺得這是最大的難點。

網路安全的事故跟一般的保險事故還不太一樣，它的發生可能是偶然性、批量性的，有一點類似「巨災」性質，也是說要麼就不發生，要發生可能是受害的不是一兩個，是群體，可它又不像地震，因為地震它還有一個地震區域來參考估算損失，那麼這種風險對於我們現在沒有任何歷史數據的情況下，或者對預期損失沒有任何估計的前提下，可能我們最大難度就是定價。以這次的勒索病毒事件為例，因被攻擊而產生的損失很難量化，可是作為保險定價，「量化損失」是基本的前提要素，影響到接下來的精算定價。

至於理賠服務怎麼實現，考慮到網路安全風險的特殊性，我傾向於用服務的方式來替代財務補償。我家裡也有一台電腦被這次的勒索病攻擊，那麼我就在思考這類的風險能否跟保險結合，促成一類新的保險產品的落地？也就是我們說的網路安全保險。那麼怎麼來實現落地？我從保險的每個環節開始思考，對於安心財險來說，首先肯定是敢於嘗試一定是我們家的新公司，我們願意嘗試，我的訴求還是很現實的，怎麼落地，這涉及很多方方面面的細節。

可以把網路安全保險看做基於網路使用的健康險。可參照健康保險業險的做法，由保險公司把網路安全供應商集合在一個平台上，並且對相應服務根據事故發生的偶然性進行定價，然後給客戶提供一個全方位的網路安全服務，包括但不限於檢測、干預、防範、補救和賠償。

郝 哲

安心財產保險有限責任公司 重點客戶部副總經理

我們前面說到網路安全保險產品形式，B端產品和C端產品，個人認為市場更需求的是B端產品，但是B端產品如果就關鍵產品來講，目前它有幾個大的問題需要解決：風險定價和風險分散、損失界定或定責。目前國內保險公司不具備這個能力的，所以解決這些問題其實都有賴於非常權威的CPA服務方和官方的權威認證和評估機構，來協助保險公司做一定延伸。例如，風險定價一定要有非常專業的人士對這個公司所處的一個網路環境進行非常專業的評估，相當於與公司來做投保。風險分散一定要找到代保，但是前期代保人也需要對公司的安全情況有一定了解。那麼損失的界定或者定責，更加需要有非常權威的機構來出具一個鑒定結果，比如出現的事故到底是什麼性質，是被黑客攻擊？或者只是一個一種常規的物質損失，甚至是一種騙保行為？那麼我們保險公司在流程上，認為只要有這樣的認證公司出具鑒定結果，就可以判斷是否屬於保險責任範圍內。

關於確定損失之後的賠付方式，目前來看有定額賠付、成本減損。定額賠付就是我們在保險的時候約定好一個固定的保障額度，當發生風險時就是多少，你就按這個去賠付。成本減損就是施救一些費用，補償對方創造這些數據的時候的成本。

提到產品設計的問題，我們前期可能更傾向於C端產品，傾向於保障民眾個人隱私，作為我們用保險這種形式來教育引導民眾的一個突破口。這種保險的設計關鍵是要有一個恢復聲譽的機制，因為個人隱私泄露這類事件，對當事人尤其是對明星來講，最看重的是名譽損失。這種產品一旦設計出來，可以考慮助於目前比較大的一些C端平台，去做大面積的推廣工作，這樣效率比較高一些。

湯 寧

眾惠財產相互保險社 副總裁

首先給大家介紹一下眾惠財產相互保險社及其成立的背景。保監會2015年推出了《相互保險組織監管暫行辦法》，為我們在國內開展相互保險提供了法律依據，於是在2016年6月22日，保監會分別立足於壽險、建工險、財產險三個不同的領域，正式批複了三家相互保險組織作為試點，其中的財產險試點單位就是我們眾惠財產相互保險社。眾惠保險是在2017年2月14號情人節這一天正式通過驗收開業的。與傳統商業保險的風險轉移業務邏輯不同，相互保險是基於風險分擔的一種商業模式，有點類似於「人民公社」的意思，所以我們叫「眾惠財產相互保險社」，而不是「眾惠財產相互保險公司」。

其次介紹一下什麼是「相互保險」？「相互保險」在國內還是比較新的一個名詞，但是在國外已經很普遍，發展很多年了。目前相互保險在全世界的業務規模大概是13萬億美元，佔到全世界保險規模的37%左右，有9.2億人通過相互保險進行承保，但是現在幾乎是0。從保險的發展過程來看，一般認為是三個階段，相互保險這種形式是第一個階段，是保險的最原始形態；後來有些人在裡面窺探到商機，才有了現在的商業保險；然後政府又看到商業保險好處，於是就有了我們的社會保險。

舉個簡單例子，便於大家理解相互保險。現在大伙兒都有車，比如我們有20個人決定今年不買商業保險，而是成立一個相互保險的自助組。假設原來每個人每年車的保費都是一萬塊錢，那麼在相互保險機制下，變成5000元，這樣我們這20個人就成立一個10萬塊錢的小資金池，到了年底做清算的時候，一共有3個人出險，總共賠了2萬塊錢，那麼剩下8萬元再按照每人4000元的標準分回給我們這20個人，然後第二年再來一輪。這個機制可以簡單地理解為我們20個人今年幫助了這3個人。對於十年不出險的人來說，相當於我只花了很少的錢就可以保了十年的車的安全；由於我們常年在這樣一個互助組裡，已經比較熟悉彼此了，經常出險的人就會很不好意思，認為是大伙兒在幫忙分擔自己的保費，這種心理會促使他在接下來的行車過程中格外小心謹慎，盡量避免出險。這其實就形成了一個自我改善的良性循環。

說到網路安全保險的發展模式，能否以此為參考，也形成一個網路安全和保險行業的類似「互助組」的形式，發揮相互保險模式的最大特點——網聚眾人力量。因為考慮到網路風險的特性，事後的財務補償方式簡直沒有意義，就是隔靴搔癢一樣，該丟的數據還是丟了。所以我在想我們能不能跳出傳統保險通過財務補償，來降低損失的思維範疇，而構建一種比較靈活的、相互制約的動態機制。既然網路安全保險發生在網路上，保險公司可不可以網聚網路上各方力量，從源頭上減少網路安全風險的發生，達到一種良性循環的目的。比如，把那些原本有惡意的黑客納入到一個互助共建的體系里來，從根本上減少或者遏制不道德網路行為的發生。這個思考來源於我做相互保險的一個想法，就是當大伙兒都有一種機制約束的時候，當違約成本遠遠高於違約收益的時候，其實就間接減少了風險的發生。

另外，針對網路風險的巨災性質和散點性，帶來難以量化統計和難以精算定價的困難，對於網路安全保險這種新形態，我們既有的老模式是很難適用的，那麼如何去發展它？我的思路是「解鈴還須繫鈴人」。網路安全保險這個新形態是基於互聯網的時代才有的，網路風險也是基於互聯網的發展才出現的，那麼我們是否應該用「互聯網的思維」來思考其發展路徑？現在業內有一種提法，叫「保險生態觀」，認為保險業應該打通上下游、全鏈條的風險管理和全場聯通的建設，其實這就是開放、共享的「互聯網思維」。網路風險管理理應通過網路來整合各種資源，聚集多方力量來實現，至於具體都需要整合哪些資源，還有待於大家的進一步探討和產業鏈構建的需要。

關於「打通上下游、全鏈條的風險管理」的觀點，我舉一個美國在健康險領域的一種常規的做法，即「管理式醫療」的例子，希望從中得到啟發。美國1973年就興起了「管理式醫療」，這種模式有三大塊資產的資源支撐：醫院、醫生、保險公司。保險公司在這裡起到鏈接的作用，具體模式概括起來就是我保你的健康險，我提供全方位一條龍的健康監控和治療的服務給你。保險公司按人頭付費給負責你的醫生，醫生會為你建立一個健康檔案，你的所有健康問題都會跟他的收益掛鉤，不管你是否生病，保險公司都付費，如果你很少生病，那醫生就多賺錢。這種機制就會激勵醫生去做好事前保健和疾病預防工作。假如，很不幸有人真的得了不治之症，好比是網路發生了無法用金錢衡量的巨災風險，那保險公司也只能提供一個經濟上的補償標準而已。這個例子裡面，講的是通過提供盡量好的事先服務來管理風險，用「事前服務」來替代「事後經濟補償」。說到網路安全保險的模式，也是一樣，如何利用保險這個工具網聚所有資源，然後通過做足「事前服務」來防控風險，如果真的遭遇防護不了的安全事故，最後退而求其次，再考慮經濟補償。

網藤科技是做工業控制系統安全的公司，既提供安全產品也提供安全服務。工控系統一旦發生風險，損失帶來的政治影響和經濟影響都是異常巨大的，無法衡量。所以我特別贊成有專家提到的，用網路安全服務來進行風險轉移，在這個過程中，網路安全行業和保險行業行成一個命運共同體，一起去將風險扼殺在搖籃里。在這個「命運共同體」里，除了網路安全行業和保險行業，還有權威的第三方評估機構，對網路安全公司的風險等級進行評估。參考我們做工控安全服務的思路和經驗，可以將網路安全服務分為事前、事中和事後三個階段。

事前，涉及風險評估，定價，投保範圍。首先是事前風險評估，我們要怎麼做，類似普通的投保之前，建議對投保對象進行一些調查，有一個大致的評估和潛在風險排查。網路安全保險的事前服務同樣是這樣，在投保之前，首先要對你現有的資產做一個梳理，梳理完了之後要對他做一個安全的評估，那這方面的評估也有些相應的一些規則，就是日常的一些檢測和一些評估，以排查掉達不到投保要求的客戶。這其實也是單獨的一類服務，我們叫做安全加固。通過加固服務使其符合投保要求的安全水平。

至於定價和投保範圍，有專家提到，由於歷史數據的缺失，我們無法對網路安全風險進行準確的精算定價，這方面可以引入國際上通用的對應用網站的評分體系CDSS，它會用分數來量化，告訴你現在的網站是處在什麼樣的危險級別，面臨哪些風險，這些風險應該達到一個高危還是低危。另外，風險評估和定價以及投保範圍方面還可以跟現在的等級保護制度要求結合起來，由公安部系統和獲得授權的一些第三方廠家去做評估，這些機構在現有的網路安全行業已經存在。

關於投保範圍，關於傳統的信息安全形度，就是我們普通辦公網路層面，是怎麼去界定的，這方面等級保護已經比較全了。下面我想重點談一下新興領域，如果說用「急用先行」這個思路來有選擇地推進部分險種，那麼像工業控制場景、互聯網的場景、大數據的場景還有這雲計算的場景應該是首先要考慮的。

事中服務是通過動態感知和監控收到起到督促作用。比如說這次「勒索病毒」，其實是在3月14號這個漏洞已經暴出來了，已經讓大家去修補了，但是恰恰很多人沒有去做這個事情，也就是說，一種督促的手段或者一種監控的手段。這跟湯總提到的相互保險機制的出發點類似。事中的概念不是在事情發生之後才去做一些應急的處理，那我一定是在事前幫他加固完了之後，那事中，那在這個過程中，會持續持續堅固，因為這也是習總提出叫整體開放動態安全管理，因為網路安全管理它是一個動態的，也就是說中間的這個過程，我們是需要一個動態監控的，那這樣的話一方面來說對客戶可以做一些預防，另一方面可能對保險公司來講，我提前比如說這次「勒索病毒」，我提前知道這個信息，那我就提前在這兩個月之內，我就把這個漏洞給它堵上了，那這個保險賠付就不會發生了，這是事中的一個概念，這個概念覺得可能會是跟目前現行的主流保險產品差距比較大，也是我們現在其實很多網路安全公司重點在做的一個服務。

然後第三個階段就是說出險了以後怎麼去做，出險了以後，首先第一個來講，你要做應急，需要把處理的問題，比如說這次我能解決的，勒索問題發生以後，那我首先問題五是我要去幫他解決，把這個勒索事件給它解決掉，那這只是一個應急的服務，然後呢，如果說是比如說剛才也有專家提到了，你這個問題怎麼去定位，他這個威脅來源怎麼去定位，那好，安全服務人員也有一種叫取證溯源，可以發現你這個問題到底是出在什麼樣的問題，是你自己員工造成的，還是是外界的攻擊造成的，這有這麼一條手段，然後甚至還有一些更多的一些專項服務，比如像這種抗拒絕）服務，這種源代碼檢測啊，還有像我們現在都說的這種安全，都是比較主流的一些概念。

作為安全服務商，從自己的切身體驗來給大家提供一些參考思路。

第一次這麼深入的聽這個網路安全的這麼一個沙龍，而且跟各位保險行業的專家，收穫很大。信息安全供給用戶的應該是加工具加服務的一個結合。現在我們安全公司都在往工具加服務的這種方式來轉。特別是新型的安全公司。這跟我們談到網路安全保險傾向於做事前和事中服務是方向一致的。具體怎麼做？也就是保險公司跟網路安全公司的動態配合這個問題，網路安全公司有技術也有工具和服務能力，保險公司有牌照，有專業知識何經驗，怎麼真正深入的結合起來，是保險行業從資本收購的角度來吸收安全公司？還是保險公司自己組建一個類似安全公司的一個服務團隊？還需要進一步探討和真正落地。

另外，關於網路安全保險產品的開發設計問題，重點開發toC還是toB產品的問題，我倒是比較傾向於就是說toB的考慮。首先，我們很多的這種B端企業服務於C端客戶，這類B端企業有很強的信息安全的需求，通過服務B端客戶進而服務更多的C端客戶的產品應該是最有市場的。另外，B端企業相對資金雄厚，又捨得投入資金，這對我們網路安全保險這個業態的發展來說，也是一個動力支持。

網路安全保險的核心是向客戶提供網路安全服務及數據安全保障，客戶投保的核心訴求是加強網路安全防範，並且在發生網路安全故障后，儘快恢復業務系統及數據安全恢復。這個模式是將目前企業傳統IT系統，通過保險形式以服務來保障企業的IT系統運行，既是對保險業務內容的提升，又是對企業IT系統運維的革命，這需要兩方面的創新，一是保險公司需要整合網路安全公司和數據安全公司技術與服務與保險規範的結合，另一個是企業IT系統運維預算是否可以採購保險的形式操作，如果這個模式成功了，是企業、IT技術服務公司、保險公司均受益的模式，但是這個創新的引領者應該是保險公司。

梆梆安全專註於移動應用安全服務，為全球政府、企業、開發者和消費者打造安全、穩固、可信的移動應用生態環境，到目前為止，梆梆安全已經為7萬家註冊企業及開發者的超過70萬個移動應用提供移動應用安全服務，這些應用已經累計安裝在7億個移動終端上。梆梆安全的企業用戶遍及金融、互聯網、物聯網、政府、企業等各大行業，覆蓋亞洲、歐洲及北美等主要市場。關於網路安全保險，梆梆安全也一直在關注。

保險行業在世界排名在前三位，而網路安全保險已有15年的發展歷程，卻幾乎是空白。隨著網路安全逐漸被重視，越來越多的網路安全事件的發生，《網路安全法》的頒布，給網路安全保險帶來發展契機。但是，相關機構不多，險種較少，以及如何定價等問題又制約著這一新興險種的發展。保險賠付在一定程度上降低了網路安全事故帶來的損失，但相比事故為企業帶來的真正損失卻是無法評估的。作為企業，最不希望的是出現網路安全事故。所以，買網路安全保險又不出網路安全事故才是企業訴求。而保險公司在與企業進行保險流程之前，需要了解企業的網路架構，網路信息化的現狀才能確定險種與價格。可這個過程本身就是在幫企業做風險預警，起到了為企業諮詢服務作用。

買了網路安全保險，又能知道哪些環節需要提前預防，這樣的服務應該是符合企業的需求的。網路安全公司能為網路安全保險做什麼？保險公司在定險前需要了解企業的網路情況，這需要專家級的團隊才能滿足現場需求，如果保險公司自己組織這樣的團隊，管理成本又是很大問題。這就需要與行業內知名的安全公司合作，安全公司更了解企業的網路信息化現狀架構。安全公司的產品，通常都是因為本行企業關注的地方不被攻擊而產生。剛才說到，定價難的問題，那麼是不是就可以根據行業產品來設計險種，從而定價？比如移動安全，梆梆安全的全生命周期的解決方案里幾乎包括了移動安全所發生的所有要解決的問題，在移動安全方面，就可以供保險公司借鑒。安全公司也可以根據自己的經驗幫保險公司來細化險種，以及為企業提供定損服務。安全公司來但任4S店的角色直接為企業提供服務。可以組建一個網路安全保險共同體，這裡面有保險公司，有在各自領域裡有自己專註點的安全公司，一起探討、行動起來。

整體網路防禦能力相對薄弱，推進網路安全保險落地具有緊迫性。網路安全保險作為第三方服務者、監督者、整合者與創新者，擁有極大的想象空間。伴隨改革開放30年及「互聯網+」時代的財富積累，網信領域值得被保護的信息會越來越多，所以網路安全險在國內雖然「遲到」，但卻很有可能像車險一樣後來居上。

由於國家強制推動，車險的消費觀念已經十分成熟，個人購買車險成為消費者購車時的「標準配置」。對於網路安全保險來說，即將實施的《網路安全法》以及後續可預見的相關法律法規，對於重要部門網路安全要求的不斷提升，有利於催生網路安全領域的「標準配置」。另外，關於網路安全險資的用途，安天主張將重心投入到預防性保障中去。世上沒有絕對的安全，當出現無法預防和處置的損失時，險資仍需扮演「最後補償者」的角色，但安天堅決反對將險資支付給勒索者或其他黑客以換取暫時性安全的做法。

雖然說對於網路安全保險，財務賠付不能彌補最痛點，但是我相信財務賠付也是一個很重要的手段，尤其是在花巨資請專業技術公司進行數據恢復來說，保險公司的財務補償至少是進行這項工作的動力，在這一點上體現了保險的分散風險功能。另外，網路安全保險是一個新興事物，應該跳出固有思維和模式予以考慮，個人認為對於網路安全保險的賠付形式，提供數據恢復服務對於投保客戶來說在很大程度上比財務金錢的賠償更有實際意義，在此層面上來說，保險公司需要與網路安全企業進行深度合作，而且應該是全流程、全鏈條的合作。

我在君澤君律師事務所主要執業領域是投融資併購，我們知道保險企業一方面是保險產品的提供商，同時保險公司也是非常重要的機構投資者。網路安全行業是一個具有高度成長型和發展空間的行業，網路安全企業在未來幾年將會迎來一個快速發展的窗口時期。正如前面所說，在網路安全保險的新模式下，保險公司為客戶理賠的形式不再限於財務金錢的賠付，更多的可能體現為一種服務，而這種服務的提供有賴於保險企業和網路安全企業進行全方位的深度合作。對於需要尋求投資對象的保險公司來說，網路安全企業將會成為一個良好的投資對象，對於需要資金快速發展的網路安全企業來說，保險公司可以成為理想的投資者。同時，保險公司需要向網路安全企業採購服務，網路安全公司可以藉助保險公司擴大其產品和服務的銷售。網路安全企業和保險公司的這種互相需要、合作協同，可以促進網路安全企業快速發展壯大，也可以作為為投資者的保險公司獲得良好的收益和回報。這就形成了一個良性的發展和互動，使得保險公司和網路安全企業結成一個共同體，實現雙贏。當然，就目前而言，此模式在具體操作中可能還存在一些法律法規方面的障礙，但我相信未來此種模式一定能找到一條合法合規的發展和實施路徑。

最後，雖然網路安全保險的理賠形式不再以財務金錢賠付為主，但是財務金錢的賠付仍然是一個不可替代的賠付形式或終極的賠付形式，在存在財務金錢賠付的情況下，就不可避免的存在「騙保」的問題。在網路安全保險領域，傳統保險行業的「騙保」問題在這樣一個虛擬空間可能會存在被放大甚至泛濫的風險，但在網路虛擬空間，「騙保」將更加隱蔽，保險公司將更加難以識別和偵破，這個問題我們也要考慮和重視。至於解決，是否可以借鑒湯總的相互保險機制的思路，通過相互制約來從源頭上加以遏制。

我的研究領域之一是從網路侵權視角研究網路平台的法律責任，那麼從侵權的角度來看，我給網路環境下的侵權損失做一個類型化的分析，，也許能夠幫大家分析出網路安全保險的潛在客戶群 。

第一類，傳統的企業、機構及政府部門因網路安全事故而產生的損失。對他們來說，最直接的損失就是數據信息的損失和網路程序無法正常運行而帶來的經營損失以及修復系統的支出，。第二種損失是因為系統受到攻擊帶來商業秘密、技術資料等有關知識產權的損失。另外，由於這些企業所保存的用戶隱私信息、客戶商業秘密因網路安全事故而泄露，從而造成了需要面臨的被第三方索賠的風險、企業自身的商譽損失以及訴訟成本，比如醫院的病人的診療信息、商場的會員顧客信息。

第二類，專門的互聯網企業的損失。第一，互聯網企業的網路因受到攻擊而無法訪問或正常運行，造成的經營損失。第二，互聯網金融平台和電商平台等與用戶財產有關聯的企業，受網路安全事件的影響，出現的用戶經濟利益的損失。再如，網路遊戲平台受到攻擊，致使玩家的遊戲道具等虛擬財產消失，對遊戲運營者來說，也會面臨賠付風險。第三，因用戶隱私泄露而使得平台遭受的索賠、罰款等損失，比如電商平台。內容平台和自媒體平台也會受到網路安全的影響。比如，電子郵件系統受到攻擊、加密內容的訪問許可權被破解等情形。再如，視頻網站會購買大量電影、電視劇的版權，為了保證獨家播放，這些網站會對版權進行技術保護，這些技術保護措施一旦被破解，會造成版權內容的非法傳播，給企業帶來經濟損失。第四，利用移動終端做服務的企業，通過運營而獲取大量用戶數據，價值是非常大的，這些數據如果因網路安全事故的產生而被竊取、遺失或泄露，對企業來說，會產生經濟損失。第五，一些程序或網站受到攻擊后，被用來進行網路詐騙、向用戶發送病毒文件等情況下，給第三方造成的損失。

第三類，對網路用戶而言，第一，個人終端用戶信息尤其是隱私類信息泄露帶來的名譽損失，另外，個人所使用的智能電視、智能冰箱、智能攝像頭等可以聯網的智能設備，一旦被攻擊，也會產生影響。第二，個人終端受網路安全事故的影響，會造成其在網銀、電子支付平台等的金錢損失。

網路空間已經成為人類社會生產生活新空間、億萬網民精神新家園，但同樣存在天災人禍，我之前概括為網路恐怖主義、網路軍國主義、網路霸權主義、網路自由主義和網路犯罪五大風險。如何讓網路空間成為十三億多人民乃至世界人民的共同福祉，網路安全保險是一個重要的手段。

本次沙龍對「網路安全保險」議題的研討，把網路安全和保險這兩個極為重要的行業融合起來了，對這兩個行業的生態發展具有顛覆性的重構意義。受大家啟發，我感覺可以從三個方面理解這次沙龍的戰略意義：理解價值，聚合力量，採取行動。

價值理解。從五個角度理解推動網路安全保險的價值，第一，保障人民在網路空間平安生活、財產安全；第二，助力網路安全產業健康發展；第三，推動保險業務開拓發展，尋找「新藍海」，回歸保險行業正常功能；第四，優化國家治理，促使機制體制改革，體現「全心全意為人民服務」的執政黨宗旨；第五，創新推動經濟發展，構建「網路，繁榮世界」的「一帶一路」走出去典範。

聚合力量。今天沙龍研討特別讓人腦洞大開，可以說聚合了六種力量。第一，理論的引導力。通過今天研討，得出「服務就是保險」（SaaI），共建「網路安全保險共同體」等全新的概念。第二，技術的支持力。今天參加沙龍的網路安全行業的科技公司，還有保險行業的領導，一起探討了技術層面的合作可能。第三，行業的驅動力。網路安全保險的推出對這兩個行業都是天大的喜事，都具有驅動力量。第四，社會的普惠力。網路安全保險會讓所有跟互聯網相關的行業、機構和個人都會從中受益，這是互聯網思維的魅力。第五，政府的規範力。建議網路安全保險能夠像車險一樣，多一些政府的強制規範去推動。第六，時代的推動力。網路時代已經來臨，全世界都在網路空間結成了命運共同體；網路強國戰略、大數據戰略、「互聯網+」行動計劃的提出，都是發展網路安全保險的大趨勢。

採取行動。可以分六步走，一是創新險種為突破口，二是選好對象做好服務，三是凝聚力量做好保障，四是爭取突破作出保單，五是複製黏貼擴大規模，六是制定標準長遠發展。隨著6月1日的到來，《網路安全法》即將施行，為網路空間各項發展提供了法律保障，也是網路安全保險發展的動力，希望通過這樣的頭腦風暴真正能促使大家動起來。比如，可以「急用先行」，優先推出幾類險種落地，做成報單。期待「網路保險-安全共同體」的形成，更加期待由此帶來的新興業態產業鏈的形成。

識別二維碼